IAM を使用した Looker(Google Cloud コア)のアクセス制御

Looker(Google Cloud コア)は、Identity and Access Management(IAM)を使用して、一連の IAM ロールを通じてユーザーと管理者のアクセス権をプロビジョニングします。Google Cloud IAM の詳細については、IAM のドキュメントをご覧ください。

Identity and Access Management(IAM)とは

IAM を使用すると、Google Cloud プロジェクトのリソースにアクセスできるユーザーを制御できます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。

IAM でのプリンシパルとは「誰」であるかを指します。プリンシパルは、個々のユーザー、グループ、または Workspace ドメインのいずれかです。プリンシパルにはロールが付与されます。このロールにより、Looker(Google Cloud コア)と Google Cloud でより全般的な操作を行える権限が付与されます。各ロールは、1 つ以上の権限をまとめたものです。権限は IAM の基本単位です。各権限により、プリンシパルが特定のアクションを実行できます。

たとえば、looker.instances.login 権限を持つプリンシパルは Looker(Google Cloud コア)インスタンスにログインできます。この権限は、Looker 管理者ロール(roles/looker.admin)や Looker インスタンス ユーザーロール(roles/looker.instanceUser)など、いくつかの事前定義ロールに含まれています。

必要なロール

Looker(Google Cloud コア)IAM ロールの割り当てに必要な権限を取得するには、インスタンスが作成されたプロジェクトに対する プロジェクト IAM 管理者 roles/resourcemanager.projectIamAdmin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

IAM ロールと Looker ロール

Looker(Google Cloud コア)の権限は、IAM ロールと Looker ロールの 2 種類のロールで付与されます。

  • Looker(Google Cloud コア)の IAM ロール: この種類のロールは、次の機能を管理します。

    • Looker(Google Cloud コア)に関する Google Cloud コンソール内のユーザー機能

    OAuth と組み合わせて使用すると、次の機能も管理されます。

    • ユーザーが Looker(Google Cloud コア)インスタンスにログインできる権限
    • Looker(Google Cloud コア)インスタンスにログインしたユーザーに付与されるデフォルトの Looker ロール

    IAM ロールを付与する方法については、IAM のドキュメントをご覧ください。

  • Looker の役割: この種類のロールは、Looker(Google Cloud コア)インスタンスにログインした後ユーザーが行える操作を管理します。Looker ロールを付与する方法については、ロールグループのドキュメント ページをご覧ください。

Looker ロールが Looker(Google Cloud コア)インスタンス内に割り当てられると、IAM によって付与されるデフォルトの Looker ロールがオーバーライドされます。

Looker(Google Cloud コア)の IAM ロール

Looker(Google Cloud コア)のユーザーは、次の 3 つの事前定義ロールが使用できます。これらのロールは Google Cloud プロジェクト レベルで付与され、Google Cloud プロジェクト内のすべての Looker(Google Cloud コア)インスタンスに対してアクセスを均一に制御します。

ロール名 権限

Looker 閲覧者

(roles/looker.viewer)

すべての Looker(Google Cloud コア)リソースへの読み取り専用アクセス権。

looker.backups.get

looker.backups.list

looker.instances.get

looker.instances.list

looker.instances.login

looker.locations.get

looker.locations.list

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

Looker インスタンス ユーザー

roles/looker.instanceUser

Looker(Google Cloud コア)インスタンスにログインするためのアクセス権。

looker.instances.get

looker.instances.login

resourcemanager.projects.get

resourcemanager.projects.list

Looker 管理者

roles/looker.admin

すべての Looker(Google Cloud コア)リソースに対する完全アクセス権。

looker.backups.create

looker.backups.delete

looker.backups.get

looker.backups.list

looker.instances.create

looker.instances.delete

looker.instances.export

looker.instances.get

looker.instances.import

looker.instances.list

looker.instances.login

looker.instances.update

looker.locations.get

looker.locations.list

looker.operations.cancel

looker.operations.delete

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

少なくとも 1 人のプリンシパルに Looker 管理者(roles/looker.admin)IAM ロールが必要です。

必要な権限が事前定義された役割で提供されていない場合は、カスタムのロールを独自に作成することもできます。

次のステップ